<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  
  <title>图解HTTP八确认访问用户身份的认证 | 清风向阳</title>
  <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
  
    <meta name="keywords" content="Joker,Joker's Blog" />
  
  <meta name="description" content="某些Web页面只想让特定定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功。下面我们一起来学习一下认证机制。">
<meta name="keywords" content="HTTP">
<meta property="og:type" content="article">
<meta property="og:title" content="图解HTTP八确认访问用户身份的认证">
<meta property="og:url" content="http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/index.html">
<meta property="og:site_name" content="清风向阳">
<meta property="og:description" content="某些Web页面只想让特定定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功。下面我们一起来学习一下认证机制。">
<meta property="og:updated_time" content="2017-09-15T06:59:42.000Z">
<meta name="twitter:card" content="summary">
<meta name="twitter:title" content="图解HTTP八确认访问用户身份的认证">
<meta name="twitter:description" content="某些Web页面只想让特定定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功。下面我们一起来学习一下认证机制。">
  
  
    <link rel="icon" href="/favicon_pic.ico">
  
  <link href="//cdn.bootcss.com/font-awesome/4.7.0/css/font-awesome.min.css" rel="stylesheet" type="text/css">
  <link rel="stylesheet" href="/css/style.css">
  <script src="/js/pace.min.js"></script>
  

  
  

</head>

<body>
  <div id="container">
      <header id="header">
    <div id="banner"></div>
    <div id="header-outer">
        <div id="header-menu" class="header-menu-pos animated">
            <div class="header-menu-container">
                <a href="/" class="left">
                    <span class="site-title">Joker&#39;s Blog</span>
                </a>
                <nav id="header-menu-nav" class="right">
                    
                    <a  href="/">
                        <i class="fa fa-home"></i>
                        <span>Home</span>
                    </a>
                    
                    <a  href="/archives">
                        <i class="fa fa-archive"></i>
                        <span>Archives</span>
                    </a>
                    
                    <a  href="/about">
                        <i class="fa fa-user"></i>
                        <span>About</span>
                    </a>
                    
                </nav>
                <a class="mobile-header-menu-button">
                    <i class="fa fa-bars"></i>
                </a>
            </div>
        </div>
        <div id="header-row">
            <div id="logo">
                <a href="/">
                    <img src="/images/avatar.jpg" alt="logo">
                </a>
            </div>
            <div class="header-info">
                <div id="header-title">
                    
                    <h2>
                        Joker&#39;s Blog
                    </h2>
                    
                </div>
                <div id="header-description">
                    
                    <h3>
                        一个认真的技术博客
                    </h3>
                    
                </div>
            </div>
            <nav class="header-nav">
                <div class="social">
                    
                        <a title="Joker"  href="//joker-studio.pub">
                            <i class="fa fa-home fa-2x"></i></a>
                    
                        <a title="Github" target="_blank" href="//github.com/mjjde">
                            <i class="fa fa-github fa-2x"></i></a>
                    
                </div>
            </nav>
        </div>
    </div>
</header>
      <div class="outer">
        <section id="main" class="body-wrap"><article id="post-图解HTTP八确认访问用户身份的认证" class="article article-type-post" itemscope itemprop="blogPost">
  <div class="article-inner">
    
      <header class="article-header">
        
  
    <h1 class="post-title" itemprop="name">
      图解HTTP八确认访问用户身份的认证
    </h1>
    <div class="post-title-bar">
      <ul>
          
              <li>
                  <i class="fa fa-book"></i>
                  
                      <a href="/categories/网络技术/">网络技术</a>
                  
              </li>
          
        <li>
          <i class="fa fa-calendar"></i>  2017-06-14
        </li>
        <li>
          <i class="fa fa-eye"></i>
          <span id="busuanzi_value_page_pv"></span>
        </li>
      </ul>
    </div>
  

          
      </header>
    
    <div class="article-entry post-content" itemprop="articleBody">
      
            
            <blockquote>
<p>某些Web页面只想让特定定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功。下面我们一起来学习一下认证机制。<br><a id="more"></a></p>
<h4 id="何为认证"><a href="#何为认证" class="headerlink" title="何为认证"></a>何为认证</h4><p>计算机本身无法判断坐在显示器前的使用者的身份。进一步说，也无法确认网络的那头究竟有谁。可见，为了弄清楚是谁在访问服务器，就得让对方的客户端自报家们</p>
</blockquote>
<p>核对的信息通常是指下面这些</p>
<ul>
<li>密码:只有本人才会知道的字符串信息</li>
<li>动态令牌:仅限本人持有的设备内显示的一次性密码</li>
<li>数字证书:仅限本人（终端）持有的信息</li>
<li>生物认证:指纹和虹膜等本人的生理特征信息</li>
<li>IC卡等:仅限本人持有的信息</li>
</ul>
<p><strong>HTTP使用的认证方式</strong><br>HTTP/1.1使用的认证方式如下所以。</p>
<ul>
<li>BASIC认证（基本认证）</li>
<li>DIGEST认证（摘要认证）</li>
<li>SSL客户端认证</li>
<li>FormBase认证（基于表单认证）</li>
</ul>
<h4 id="BASIC认证"><a href="#BASIC认证" class="headerlink" title="BASIC认证"></a>BASIC认证</h4><p>BASIC认证步骤</p>
<ol>
<li>请求的资源需要BASIC认证时服务端会返回code为401状态码，返回带有WWW-Authenticate首部字段响应，</li>
<li>客户端浏览器接受到401状态码后为了通过BASIC认证，需要用户输入ID和密码，并将以:隔断组成字符串，在经过Base64编码处理</li>
<li>服务端在接受到包含Authorization请求后，将对认证信息进行确认，如果验证通过就会返回包含RequestURI资源的响应</li>
</ol>
<p>BASIC认证虽然采用了Base64编码，但是这不是加密的手段，一旦被窃取后，就会对认证造成破坏，所以SASIC认证的缺陷还是明显的，所以这种的认证已经很少使用了。</p>
<h4 id="DIGEST认证"><a href="#DIGEST认证" class="headerlink" title="DIGEST认证"></a>DIGEST认证</h4><p>BIGEST认证步骤</p>
<ol>
<li>请求需要认证资源时，服务器会随着状态码401响应，返回带有WWW-Authenticate首部字段，该字段内必须包含realm和nonce两个字段信息，客户端将会依靠这两个字段回传认证信息。</li>
<li>服务端收到状态码，将发送包含username，realm，nonce，uri，response的字段信息。其中realm和nonce就是服务端传过来的值，username是可认证的用户名，uri是Request-URI的值，response是经过MD5加密过后的密码，</li>
<li>服务端对客户端的字段进行认证。</li>
</ol>
<p>DIGEST认证和BASIC认证类似只是对密码进行了保护，防止密码被窃听泄露，但是仍然无法防止用户的伪装。目前的使用场景不多</p>
<h4 id="SSL客户端认证"><a href="#SSL客户端认证" class="headerlink" title="SSL客户端认证"></a>SSL客户端认证</h4><h5 id="SSL客户端认证的认证步骤"><a href="#SSL客户端认证的认证步骤" class="headerlink" title="SSL客户端认证的认证步骤"></a>SSL客户端认证的认证步骤</h5><ol>
<li>接收到需要认证的资源的请求，服务端会发送Certificate Request报文，要求客户端提供客户端证书</li>
<li>用户选择发送的客户端证书后，客户端会把客户端证书信息以Client Certificate报文方式发给服务端</li>
<li>服务端验证客户端证书通过之后，可以领取到证书内的客户端公开密钥，然后开始HTTPS加密通信</li>
</ol>
<h5 id="SSL客户端认证采用双因素认证"><a href="#SSL客户端认证采用双因素认证" class="headerlink" title="SSL客户端认证采用双因素认证"></a>SSL客户端认证采用双因素认证</h5><p>SSL客户端认证只会保证当前用户使用的计算机的身份是合法的，但是无法判断使用者的身份，因此一般都会使用基于表单认证的组合形式来进行双因素认证</p>
<p>#####SSL客户端认证必要的费用<br>使用SSL客户端认证需要用到客户端证书，而客户端证书是需要支付费用的。</p>
<h4 id="基于表单认证"><a href="#基于表单认证" class="headerlink" title="基于表单认证"></a>基于表单认证</h4><p>基于表单的认证方法并不是在HTTP协议中定义的。客户端会向服务器上的Web应用程序发送登录信 (Credential)，按登录信息的验证结果认证。</p>
<h5 id="认证多半为基于表单认证"><a href="#认证多半为基于表单认证" class="headerlink" title="认证多半为基于表单认证"></a>认证多半为基于表单认证</h5><p>由于使用上的便利性及安全性问题，HTTP协议标准提供的BASIC认证和DIGEST认证几乎不怎么使用。另外，SSL客户端认证虽然具有较高度的安全等级，但因为导入及维持费用等问题，还尚未 普及，所以只好使用由Web应用程序各自实现基于表单的认证方式。</p>
<h5 id="Session管理及Cookie应用"><a href="#Session管理及Cookie应用" class="headerlink" title="Session管理及Cookie应用"></a>Session管理及Cookie应用</h5><p>基于表单认证本身是通过服务器端的Web应用，将客户端发送过来的用户ID和密码与之前登录过的信做匹配来进行认证的。</p>
<p>但鉴于HTTP是无状态协议，之前已认证成功的用户状态无法通过协议层面保存下来。即无法实现状态管理，因此即使当该用户下一次继续访问，也无法区分他与其他的用户。于是我们会使用Cookie来管理 Session，以弥补HTTP协议中不存在的状态管理功能</p>
<p>步骤</p>
<ol>
<li>客户端把用户ID和密码等登录信息放入报文的实体部分，通常是以POST方法请求发送给服务器</li>
<li>服务器会发放用以识别用户的Session ID，向客户端返回响应时，会在首部字段 Set-Cookie内写入Session ID，Session ID应使用难以推测的字符串，且服务器端也需要进行有效性的管理，保证其安全性</li>
<li>客户端接 到从服务器端发来的Session ID后，会将其作做为Cookie保存在本地。下次向服务器发送请求时，浏览器会自动发送Cookie，所以Session ID也随之发送到服务器</li>
</ol>

            <div class="post-copyright">
    <div class="content">
        <p>最后更新： 2017年09月15日 14:59</p>
        <p>原始链接： <a class="post-url" href="/2017/06/14/图解HTTP八确认访问用户身份的认证/" title="图解HTTP八确认访问用户身份的认证">http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/</a></p>
        <footer>
            <a href="http://mjjde.github.io">
                <img src="/images/avatar.jpg" alt="Joker Mei">
                Joker Mei
            </a>
        </footer>
    </div>
</div>

      
    </div>
    <footer class="article-footer">
        
        
<div class="post-share">
    <a href="javascript:;" id="share-sub" class="post-share-fab">
        <i class="fa fa-share-alt"></i>
    </a>
    <div class="post-share-list" id="share-list">
        <ul class="share-icons">
          <li>
            <a class="weibo share-sns" target="_blank" href="http://service.weibo.com/share/share.php?url=http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/&title=《图解HTTP八确认访问用户身份的认证》 — 清风向阳&pic=http://mjjde.github.ioimages/avatar.jpg" data-title="微博">
              <i class="fa fa-weibo"></i>
            </a>
          </li>
          <li>
            <a class="weixin share-sns" id="wxFab" href="javascript:;" data-title="微信">
              <i class="fa fa-weixin"></i>
            </a>
          </li>
          <li>
            <a class="qq share-sns" target="_blank" href="http://connect.qq.com/widget/shareqq/index.html?url=http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/&title=《图解HTTP八确认访问用户身份的认证》 — 清风向阳&source=
某些Web页面只想让特定定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功。下面我们一起来学习一下认证机制。" data-title="QQ">
              <i class="fa fa-qq"></i>
            </a>
          </li>
          <li>
            <a class="facebook share-sns" target="_blank" href="https://www.facebook.com/sharer/sharer.php?u=http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/" data-title="Facebook">
              <i class="fa fa-facebook"></i>
            </a>
          </li>
          <li>
            <a class="twitter share-sns" target="_blank" href="https://twitter.com/intent/tweet?text=《图解HTTP八确认访问用户身份的认证》 — 清风向阳&url=http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/&via=http://mjjde.github.io" data-title="Twitter">
              <i class="fa fa-twitter"></i>
            </a>
          </li>
          <li>
            <a class="google share-sns" target="_blank" href="https://plus.google.com/share?url=http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/" data-title="Google+">
              <i class="fa fa-google-plus"></i>
            </a>
          </li>
        </ul>
     </div>
</div>
<div class="post-modal wx-share" id="wxShare">
    <a class="close" href="javascript:;" id="wxShare-close">×</a>
    <p>扫一扫，分享到微信</p>
    <img src="//api.qrserver.com/v1/create-qr-code/?data=http://mjjde.github.io/2017/06/14/图解HTTP八确认访问用户身份的认证/" alt="微信分享二维码">
</div>

<div class="mask"></div>

        
        <ul class="article-footer-menu">
            
            
  <li class="article-footer-tags">
    <i class="fa fa-tags"></i>
      
    <a href="/tags/HTTP/" class="color5">HTTP</a>
      
  </li>

        </ul>
        
    </footer>
  </div>
</article>


    <aside class="post-toc-pos post-toc-top" id="post-toc">
        <nav class="post-toc-wrap">
            <ol class="post-toc"><li class="post-toc-item post-toc-level-4"><a class="post-toc-link" href="#何为认证"><span class="post-toc-text">何为认证</span></a></li><li class="post-toc-item post-toc-level-4"><a class="post-toc-link" href="#BASIC认证"><span class="post-toc-text">BASIC认证</span></a></li><li class="post-toc-item post-toc-level-4"><a class="post-toc-link" href="#DIGEST认证"><span class="post-toc-text">DIGEST认证</span></a></li><li class="post-toc-item post-toc-level-4"><a class="post-toc-link" href="#SSL客户端认证"><span class="post-toc-text">SSL客户端认证</span></a><ol class="post-toc-child"><li class="post-toc-item post-toc-level-5"><a class="post-toc-link" href="#SSL客户端认证的认证步骤"><span class="post-toc-text">SSL客户端认证的认证步骤</span></a></li><li class="post-toc-item post-toc-level-5"><a class="post-toc-link" href="#SSL客户端认证采用双因素认证"><span class="post-toc-text">SSL客户端认证采用双因素认证</span></a></li></ol></li><li class="post-toc-item post-toc-level-4"><a class="post-toc-link" href="#基于表单认证"><span class="post-toc-text">基于表单认证</span></a><ol class="post-toc-child"><li class="post-toc-item post-toc-level-5"><a class="post-toc-link" href="#认证多半为基于表单认证"><span class="post-toc-text">认证多半为基于表单认证</span></a></li><li class="post-toc-item post-toc-level-5"><a class="post-toc-link" href="#Session管理及Cookie应用"><span class="post-toc-text">Session管理及Cookie应用</span></a></li></ol></li></ol>
        </nav>
    </aside>
    

<nav id="article-nav">
  
    <a href="/2017/09/14/面向对象设计-单一职责原则/" id="article-nav-newer" class="article-nav-link-wrap">

      <span class="article-nav-title">
        <i class="fa fa-hand-o-left" aria-hidden="true"></i>
        
          面向对象设计-单一职责原则
        
      </span>
    </a>
  
  
    <a href="/2017/06/09/图解HTTP七确保Web安全的HTTPS/" id="article-nav-older" class="article-nav-link-wrap">
      <span class="article-nav-title">图解HTTP七确保Web安全的HTTPS</span>
      <i class="fa fa-hand-o-right" aria-hidden="true"></i>
    </a>
  
</nav>



    
</section>
        
      </div>
      <footer id="footer">
  <div class="outer">
    <div id="footer-info" class="inner">
      
<p>
    <span id="busuanzi_container_site_uv" style='display:none'>
        总访客数：<span id="busuanzi_value_site_uv"></span>
    </span>
    <span id="busuanzi_container_site_pv" style='display:none'>
        总访问量：<span id="busuanzi_value_site_pv"></span>
    </span>
</p>


      <p>
        Powered by  <a href="http://hexo.io/" target="_blank">Hexo</a>
        Theme <a href="//github.com/wongminho/hexo-theme-miho" target="_blank">MiHo</a>
      &copy; 2018 Joker Mei<br>
      </p>
    </div>
  </div>
</footer>
    <script async src="//dn-lbstatics.qbox.me/busuanzi/2.3/busuanzi.pure.mini.js"></script>
<script src="//cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>
<script>
  var mihoConfig = {
      root: "http://mjjde.github.io",
      animate: false,
      isHome: false,
      share: true
  }
</script>
<div class="sidebar">
    <!-- <div id="sidebar-search" title="Search">
        <i class="fa fa-search"></i>
    </div> -->
    <div id="sidebar-category" title="Categories">
        <i class="fa fa-book"></i>
    </div>
    <div id="sidebar-tag" title="Tags">
        <i class="fa fa-tags"></i>
    </div>
    <div id="sidebar-top">
        <span class="sidebar-top-icon"><i class="fa fa-angle-up"></i></span>
    </div>
</div>
<div class="sidebar-menu-box" id="sidebar-menu-box">
    <div class="sidebar-menu-box-container">
        <div id="sidebar-menu-box-categories">
            <a class="category-link" href="/categories/Android技术/">Android技术</a><a class="category-link" href="/categories/其他技术/">其他技术</a><a class="category-link" href="/categories/网络技术/">网络技术</a><a class="category-link" href="/categories/设计模式/">设计模式</a>
        </div>
        <div id="sidebar-menu-box-tags">
            <a href="/tags/Activity/" style="font-size: 10px;">Activity</a> <a href="/tags/Android/" style="font-size: 16px;">Android</a> <a href="/tags/Android-IPC/" style="font-size: 10px;">Android-IPC</a> <a href="/tags/Binder/" style="font-size: 16px;">Binder</a> <a href="/tags/DiskLruCache/" style="font-size: 10px;">DiskLruCache</a> <a href="/tags/Fragment/" style="font-size: 10px;">Fragment</a> <a href="/tags/HTTP/" style="font-size: 20px;">HTTP</a> <a href="/tags/Java/" style="font-size: 10px;">Java</a> <a href="/tags/Notification/" style="font-size: 10px;">Notification</a> <a href="/tags/RemoteView/" style="font-size: 10px;">RemoteView</a> <a href="/tags/Rxjava/" style="font-size: 14px;">Rxjava</a> <a href="/tags/ServiceManager/" style="font-size: 14px;">ServiceManager</a> <a href="/tags/android/" style="font-size: 12px;">android</a> <a href="/tags/gradle/" style="font-size: 10px;">gradle</a> <a href="/tags/java/" style="font-size: 18px;">java</a> <a href="/tags/other/" style="font-size: 10px;">other</a> <a href="/tags/volley/" style="font-size: 12px;">volley</a> <a href="/tags/widget/" style="font-size: 10px;">widget</a> <a href="/tags/事件/" style="font-size: 10px;">事件</a> <a href="/tags/组件化/" style="font-size: 10px;">组件化</a> <a href="/tags/设计模式/" style="font-size: 18px;">设计模式</a>
        </div>
    </div>
    <a href="javascript:;" class="sidebar-menu-box-close">&times;</a>
</div>
<div class="mobile-header-menu-nav" id="mobile-header-menu-nav">
    <div id="mobile-header-menu-container">
        <span class="title">Menu</span>
        <ul class="mobile-header-menu-navbar">
            
            <li>
                <a  href="/">
                    <i class="fa fa-home"></i><span>Home</span>
                </a>
            </li>
            
            <li>
                <a  href="/archives">
                    <i class="fa fa-archive"></i><span>Archives</span>
                </a>
            </li>
            
            <li>
                <a  href="/about">
                    <i class="fa fa-user"></i><span>About</span>
                </a>
            </li>
            
        </ul>
    </div>
</div>
<div class="search-wrap">
    <span class="search-close">&times;</span>
        <a href="javascript:;" class="header-icon waves-effect waves-circle waves-light" id="back">
            <i class="icon icon-lg icon-chevron-left"></i>
        </a>
        <input class="search-field" placeholder="Search..." id="keywords">
        <a id="search-submit" href="javascript:;">
            <i class="fa fa-search"></i>
        </a>
    <div class="search-container" id="search-container">
        <ul class="search-result" id="search-result">
        </ul>
    </div>
</div>

<div id="search-tpl">
    <li class="search-result-item">
        <a href="{url}" class="search-item-li">
            <span class="search-item-li-title" title="{title}">{title}</span>
        </a>
    </li>
</div>
<script src="/js/search.js"></script>
<script src="/js/main.js"></script>








  </div>
</body>
</html>